4.0 KiB
Forensisches Gutachten - Gruppe 13
Auswertung sichergesteller Medien im Fall "Tilo Barkholz"
Bearbeitende Forensiker:
- Eric Lehmann
- Markus Winklhofer
- Yodkhatha Bick
- Niklas Heringer
Datenübergabe
Die Daten des Falls wurden uns via einem Write Blocker.
+++ gescheite Bildbeschreibungen
Zur Sicherung des digitalen Beweismittels wurde zunächst das Tool CRUWBlocker_.exe ausgeführt, um den Write Blocker ordnungsgemäß zu initialisieren
Dies dient der Gewährleistung der Integrität der vorliegenden Daten gemäß forensischer Standards.
Nach erfolgreichem Anschluss des Datenträgers wurden die Systeminformationen des Datenträgers erhoben:
PS E:\> Get-Volume
DriveLetter FriendlyName FileSystemType DriveType HealthStatus OperationalS
tatus
----------- ------------ -------------- --------- ------------ ------------
E TOSHIBA EXT NTFS Fixed Warning Full Repa...
NTFS Fixed Healthy OK
C NTFS Fixed Healthy OK
PS E:\> Get-Partition
DiskPath: \\?\scsi#disk&ven_nvme&prod_wd_pc_sn740_sddq#5&1551df2e&0&0000
00#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
PartitionNumber DriveLetter Offset Size Type
--------------- ----------- ------ ---- ----
1 1048576 100 MB System
2 105906176 16 MB Reserved
3 C 122683392 476.18 GB Basic
4 511417778176 659 MB Recovery
DiskPath: \\?\usbstor#disk&ven_toshiba&prod_external_usb_3.0&rev_5438#23
1841104d8b&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
PartitionNumber DriveLetter Offset Size Type
--------------- ----------- ------ ---- ----
1 E 1048576 465.76 GB IFS
PS E:\> Get-PhysicalDisk
Number FriendlyName SerialNumber
------ ------------ ------------
0 WD PC SN740 SDDQNQD-512G-1014 E823_8FA6_BF53_0001_001B_444A_481A_...
3 TOSHIBA External USB 3.0 231841104D8B
Die Ausgaben zeigen, dass das externe Medium (TOSHIBA External USB 3.0) korrekt erkannt wurde und unter dem Laufwerksbuchstaben E: bereitgestellt war. Die physikalische und logische Struktur wurde dokumentiert, um die vollständige Nachvollziehbarkeit der durchgeführten Schritte zu gewährleisten.
Übertragung der sichergestellten Medien
Eine Untersuchung besagten E:-Laufwerks zeigte eine einzelne anwesende Datei, ForImage2.img, Größe +++ GB.
Wir sicherten die Integrität der Datei durch Hashen (das Erstellen einer Datei-Signatur in ihrem aktuellen Zustand) vor und nach dem Übertragen.
PS E:\> Get-FileHash .\ForImage2.img -Algorithm MD5
Algorithm Hash Path
--------- ---- ----
MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 E:\ForImage2.img
PS E:\> Copy-Item .\ForImage2.img C:\Users\herin\Documents\"DIF PL"
+++ analoge Pfade für die anderen? oder besser so lassen (dann hätten wir ja wohl alle übertragungen dokumentieren müssen)
PS E:\> Get-FileHash 'C:\Users\herin\Documents\DIF PL\ForImage2.img' -Algorithm MD5
Algorithm Hash Path
--------- ---- ----
MD5 BE61A64B8AAD45ABBC0B4C266B688EB2 C:\Users\herin\Documents\DIF PL\ForImage2.img
+++ gescheite Command-Erklärungen